Présenter une méthode de travail permettant de répondre efficacement à un incident de sécurité sur un poste ou un réseau. Cela commence par une bonne organisation qui permet ensuite de traiter au mieux l'incident. Ce cours présente à la fois une méthodologie et les outils qui vont résorber l'incident d'un point de vue technique.
Administrateurs systèmes et réseaux, mais également toute personne impliquée dans la sécurité du réseau de son entreprise.
Programme :
Qu'est-ce qu'un incident de sécurité ?
- Pourquoi, comment, quelles sont les conséquences d'une attaque ?
- Les types d'attaques, comment s'introduire dans un système ?
- Les différents types de malware
- Conséquences d'une attaque sur le fonctionnement d'une organisation
- Importance d'une réponse efficace aux incidents de sécurité
Méthodologie organisationnelle
- Rôle d'un CSIRT / CERT, services proposés
- Etapes à suivre depuis la détection d'un incident jusqu'à sa clôture définitive (détecter, communiquer, isoler, analyser, actions correctives, communiquer)
- Mise en place de documents de référence (plan d'action, personnes clé, plan de communication, indicateurs...)
- Rapport d'incident
- Etude de bonnes pratiques, erreurs courantes à ne pas commettre
Méthodologie technique
- Présentation des composants clés d'une attaque
- Etapes à suivre et bonnes pratiques, création d'un kit d'analyse
- Rapport d'incident
Analyse d'un système éteint
- Techniques de dissimulation des données
- Recherche de rootkits
- Analyse de fichiers (entêtes, droits d'accès, éditeur hexadécimal, fichiers temporaires)
- Analyse des traces laissées par un intrus (hacker)
- Analyse du disque et du système d'exploitation
Analyse d'un système en exploitation
- Recherche des domages causés par un programme malicieux et élimination de ces programmes
- Analyse des processus en mémoire (légitimes/illégitimes, exécutables, bibliothèques)
- Analyse des connexions réseaux (liens avec les processus, backdoors), utilisation d'un scanner de ports.
- Analyse des élements de démarrage
- Analyse de la base de registres
- Examen des fichiers d'audit du système d'exploitation et des applications
- Suppression des programmes malicieux
Travaux Pratiques
- Création d'une boîte à outils
- Analyse post-mortem d'un système Windows compromis avec cheval de troie, client bot, log
- Analyse d'un serveur Web compromis : déterminer le point d'entrée de l'attaque et les vulnérabilités utilisées, déterminer les dommages, supprimer les programmes malicieux, rédiger un rapport d'incident, empêcher que le même type d'attaque se reproduise.
Voir toutes les formations TELECOM BRETAGNE